转载

针对爱尔兰DDoS攻击的取证分析

在过去一段时间内，爱尔兰的许多在线服务和公共网络都遭受到了 DDoS 攻击。英国广播公司（BBC）最近的一篇文章[ 链接 ]就指出 2016 年 DDoS 攻击事件将呈现上升趋势。

针对爱尔兰的 DDoS 攻击大部分为 NTP 放大攻击。之所以使用 NTP 进行DDoS攻击，主要是因为 NTP 像 DNS 一样是一个基于 UDP 的简单协议，可以通过发送一个很小的请求包产生巨大的相应包。

本文首先会针对此次 DDoS 攻击进行取证分析，随后会给出缓解这类 DDoS 攻击的方法。文中所有的截图来源于 LANGuardian 系统面板，该系统通过 SPAN 端口监控网络边界流量。

下列截图全部来源于真实网络环境，为 2016 年 1 月份遭受的多次 DDoS 攻击。第一张图展示了没有遭受攻击时的网络相关流量信息，从图中我们发现：

1、主要流量为 IPv4；

2、超过 97% 的流量为 TCP，而 UDP 流量只占到非常少的比例。这是非常正常以及我们期望的情况；

3、UPD 流量中绝大多数为 DNS 流量，对于大部分网络来说，DNS 都会是最为活跃的 UDP 协议。

针对爱尔兰DDoS攻击的取证分析

下图为遭受 DDoS 攻击时的网络流量分布，最大的变化就是此时 UDP 流量占到了绝大多数，这也是遭受放大攻击的典型特征。

针对爱尔兰DDoS攻击的取证分析

进一步分析 UPD 流量发现，网络中存在大量的 NTP 和 DNS 流量。但由于这两个协议都非常重要，所以无法直接将其屏蔽。另一个问题在于，这些网络数据包中包含的均为伪造的 IP 地址，所以基本的防火墙策略变的毫无用处。而这些看似合法的请求流量来自于大量的“僵尸”和伪造的身份，这也使得几乎不可能进行识别并进行阻止这些恶意流量。

针对爱尔兰DDoS攻击的取证分析

再进一步分析发现这些流量来自于4700个不同的服务器。我们可以对这些 IP 进行 whois 查询看其是否来自于声誉较好机构的真实 NTP 服务器。看上去不可能有4700个真实的 NTP 服务器被攻破用来进行这次攻击，所以肯定发生了些其他的事情。

NTP 是一个基于 UDP 的无连接协议。这就意味着恶意攻击的客户端可以不使用自己的 IP 地址作为请求源地址，取而代之使用目标网络的 IP 地址作为源地址创建一个 NTP 请求。而 NTP 服务器会认为请求是真实的并进行响应，但它会回复响应包到目标地址而不是发送客户端的地址。这就是所谓的 NTP 放大攻击。

可以确定现在正在遭受这种攻击，因为我们的网络没有发送任何的 NTP 数据包给 NTP 服务器（0数据包发送，0比特发送）如下图：

针对爱尔兰DDoS攻击的取证分析

更进一步分析，我们可以计算出接收到的 NTP 应答包平均大小为 440 字节，这明显大于标准的 NTP 应答包（90字节）。440 字节的数据包可能是对 monlist 请求进行相应的应答包，NTP 服务器响应 monlist 请求会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP，响应包按照每 6 个 IP 进行分割，最多有 100 个响应包。也就是说一个简单的 monlist 请求会收到多个大尺寸的相应数据包。这就是所谓的放大攻击，只需一个很小的请求数据包就会收到很大的相应数据包。

针对爱尔兰DDoS攻击的取证分析